資訊安全心法 — 最小權限原則

2023 年 6 月,微軟發生 1 起資安事故,造成 38TB 的資料暴露在網路上,這 38TB 的資料中還包含 2 位前員工的硬碟備份,其中含有密鑰、密碼、3 萬則通訊軟體(Teams)的內部訊息等等,但據微軟回應在這起事故中沒有客戶資料外洩,也沒有其他內部服務也因這起事故而處於風險(應該啦⋯⋯

造成此件資安事故的原因總歸 1 句——「沒有遵循最小權限原則」

簡單來說,該資安事故起於 1 個 Azure Storage URL 被意外給了最高權限,可以任意存取整個 Storage, 造成私有資料意外裸奔,所以任何人只要知道這個 URL 就可以幹大事,而且這個 URL 還剛好被公佈在微軟其中 1 個 GitHub repository 的 README.md 裡⋯⋯。

要避免這種錯誤,必須在心裡牢記「最小權限原則」,只要有人來申請任何權限,都是給他「最小最剛好可以使用」的權限即可,或者系統要建立使用者帳號、資料庫帳號,也是都使用「最小最剛好可以使用」,如此可以很大程度避免權限過大的帳號、 token 、金鑰外流所造成的資安問題,能盡量控制可能的受災範圍(要汰換全公司帳號、密碼、金鑰真的很麻煩⋯⋯),更能保護自己的職涯(給出過大權限的負責人,也有連帶責任)。

另外,實務上還可以寫一些自動化腳本定期掃描各種帳號、設定有沒有權限過大的問題,等於疊加一層防護,幫忙即時抓漏。 關於更詳細的微軟資安事故分析可以看此以下連結。

Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data

追蹤新知

看完這篇文章了嗎?還意猶未盡的話,追蹤粉絲專頁吧!

我們每天至少分享 1 篇文章/新聞或者實用的軟體/工具,讓你輕鬆增廣見聞提升專業能力!如果你喜歡我們的文章,或是想了解更多特定主題的教學,歡迎到我們的粉絲專頁按讚、留言讓我們知道。你的鼓勵,是我們的原力!

贊助我們的創作

看完這篇文章了嗎? 休息一下,喝杯咖啡吧!

如果你覺得 MyApollo 有讓你獲得實用的資訊,希望能看到更多的技術分享,邀請你贊助我們一杯咖啡,讓我們有更多的動力與精力繼續提供高品質的文章,感謝你的支持!